GuiGui's Show

Comme à chaque passage à une nouvelle version de Debian GNU/Linux, voici un résumé de tout ce qui a foiré ou changé quand je suis passé à Stretch.

Nommage des interfaces réseau

Désormais, les interfaces réseau portent des noms dit cohérents. Soit tu mets à jour ton fichiers interfaces, soit tu désactives ce nouveau nommage. Attention si tu bosses sur des machines distantes en adressage static : ne rebootes pas avant d'avoir fait une modif' ;) .

dictionaries-common/default-ispell

Sur une seule de mes machines, celle équipée d'aspell (pour Roundcube via php-pspell), le message suivant s'est affiché durant la mise à jour :

Base de données de configuration probablement corrompue

Le réglage pour « dictionaries-common/default-ispell»  est manquant mais des paquets fournissant des candidats pour ce réglage sont installés : « ifrench-gut ».

Cela peut être dû à une corruption de la base de données de configuration (« debconf »). Veuillez consulter le fichier (non traduit en français) /usr/share/doc/dictionaries-common/README.problems au chapitre « Debconf database corruption ». │

Dans cette situation, il est possible d'exécuter la commande « /usr/share/debconf/fix_db.pl » pour remettre la base de données de configuration dans un état cohérent.

Il est probable que certaines questions seront alors posées afin de replacer le système de gestion des dictionnaires dans un état (temporairement) opérationnel.

À la fin de la mise à jour, j'ai exécuté /usr/share/debconf/fix_db.pl avec succès puis j'ai vérifié : les paquets ispell et ifrench-gut ne sont pas installés… Erreur transitoire ?

OpenSSH

Les paramètres « RSAAuthentication » et « RhostsRSAAuthentication » sont dépréciés d'où un message s'affiche dans le log.

Postfix

Postfix passe en version 3.X. Elle apporte un filet de sécurité qui prévient, dans le log, des réglages implicites qui ont changé. Exemple : dans cette nouvelle version, les diffférents modules (nommés services) de Postfix ne sont plus exécutés dans un chroot par défaut. Dans mon fichier master.cf, dans la colonne « chroot », il y a la valeur implicite « - » qui signifiait « yes » avant et « no » maintenant donc Postfix émet un avertissement dans le log : /etc/postfix/master.cf: line 36: using backwards-compatible default setting chroot=y pour chaque service configuré.

Comme je suis certain de vouloir chrooter les services Postif (car ça a toujours bien fonctionné ainsi…), je mets toute la colonne « chroot » à « y » à l'exception des services local, pipe, spawn, virtual et proxymap puis je redémarre Postfix. Notons qu'une commande de type postconf -F <nom_service>/<type>/chroot=y pour chaque service produira le même résuultat (mise à « y » dans master.cf).

Dovecot

Dans la configuration de tous mes services réseau, je désactive explicitement SSLv2 et SSLv3. Avec Dovecot, cela donne ssl_protocols = !SSLv2 !SSLv3.

Or, les devs OpenSSL ont (enfin !) totalement désactivé SSLv2 entre la version 1.0.2h et 1.1.0 (voir /usr/share/doc/openssl/changelog.gz). Ainsi, le symbole « SSLv2 » n'existe plus, donc Dovecot retourne l'erreur : imap-login: Fatal: Invalid ssl_protocols setting: Unknown protocol 'SSLv2'. Notons que d'autres logiciel, comme Postfix, ne remontent pas d'erreur quand on interdit l'usage de SSLv2 dans leur config'. J'imagine que cette diffférence provient de la manière d'appeler les fonctions de la lib OpenSSL…

La correction est simple : dans la conf' de Dovecot, je n'utilise plus que : ssl_protocols = !SSLv3.

Sympa

Après la mise à jour, le menu de l'interface web (« connexion », « assistance/documentation », « chercher une liste/index des listes », etc.) n'était plus cliquable : dès que j'essayais de cliquer sur un sous-item du menu, pouf, le menu se ferme. Idem pour la connexion : impossible de saisir mon identifiant et mon mot de passe.

La raison est que j'utilise une configuration Apache httpd un peu plus contraignante que celle fournie par défaut avec Sympa (voir /etc/apache2/conf-available/sympa.conf ). Notamment, dans le dossier /var/lib/sympa/static_content, j'autorise le suivi des liens symboliques uniquement si le propriétaire du lien est le même que la destination du lien (« +SymLinksIfOwnerMatch »). Or, dans dans /var/lib/sympa/static_content, on trouve, par exemple external/jquery* qui est un lien symbolique root:root qui pointe vers un fichier sympa:sympa. Apache httpd ne le suivra donc pas. Or, en 2017, il faut obligatoirement du JS pour faire fonctionner un menu… Ceci explique cela.

Changer le propriétaire du lien ne résistera pas à une prochaine mise à jour. Il vaut donc mieux supprimer « +SymLinksIfOwnerMatch » des « Options » du dossier.

Langue

Sympa dispose de plusieurs paramètres pour adapter la langue. « lang » dans la conf' permet de changer la langue par défaut des mails envoyés automatiquement. Chaque utilisateur peut également configurer sa langue dans ses préférences dans l'interface web.

Quant à la langue par défaut de l'interface web (quand on ne s'authentifie pas), ça reste un mystère pour moi… Elle s'adapte à la langue annoncée par le navigateur web du visiteur grâce à l'entête HTTP « Accept-Language ». Avec mon Firefox packagé dans Debian configuré en Français, l'interface reste en anglais. Pourtant, Firefox annonce bien FR-fr puis en-US puis en… En revanche, si dans les préférences Firefox, Contenu, Langues, je supprime toutes les langues sauf le français, l'interface web de Sympa s'affiche en français. Avec curl, qui n'envoie pas l'entête « Accept-Language », l'interface est en français… Est-ce un bug de Firefox qui annonce mal la priorité de chaque langue supportée ou un bug de Sympa qui interprête mal les différente langues supportées par un navigateur web ? Aucune idée…

PHP 7

PHP 7 est installé durant la mise à jour, mais il n'est pas forcément activé… et comme la sécurité de PHP 5 n'est plus prise en charge dans cette version de Debian, je pense qu'il vaut mieux cesser de l'utiliser et passer en 7.0.

D'abord, il faudra porter ta configuration de /etc/php5 vers /etc/php. Par exemple, dans mes php.ini, je modifie toujours les valeurs des paramètres disable_functions, openssl.cafile, memory_limit, html_errors, post_max_size, date.timezone, session.save_path (pour pointer sur un RAMdisk / tmpfs). Elles ne sont pas importées automatiquement dans la nouvelle configuration.

Il faut désactiver PHP 5 avec a2dismod php5 puis virer les paquets php5-* et libapache2-mod-php5 puis vérifier que libapache2-mod-php7.0 et les modules php-* (oui, on note l'apparition de ces metapaquets) correspndant aux php5-* désactivés sont bien installés. Enfin, il faut activer PHP 7 avec a2enmod php7.0 && systemctl restart apache2.

Il faut vérifier que tous tes sites web fonctionnent. S'il n'y a pas de doute à avoir avec les logiciels packagés dans Debian (c'est tout l'intérêt d'une distribution), il n'en va pas de même avec les extensions ni avec les logiciels installés en dehors du gestionnaire de paquets. Exemple : j'utilisais l'extension WordPress ContentOverSSL. Celle-ci utilise la fonction PHP ereg qui a été supprimée dans PHP 7.0. Si tes logs sont bien fichus, tu devrais y trouver les fonctions problèmatiques, genre PHP Fatal error: Uncaught Error: Call to undefined function ereg() in </chemin/vers/fichier.php>.

PHP 7 + TLS dans un chroot

Attention, un chroot Apache httpd incomplet ne pardonne plus avec PHP 7.0. En effet, mon chroot ne contenait pas /dev/random et /dev/urandom et un file_get_contents('https://shaarli.guiguishow.info'); sortait en erreur :

PHP Warning: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages:
\nerror:24064064:random number generator:RAND_bytes:PRNG not seeded in /var/www/shaarli/test.php on line 2
PHP Warning: file_get_contents(): Failed to enable crypto in /var/www/shaarli/test.php on line 2
PHP Warning: file_get_contents(https://shaarli.guiguishow.info): failed to open stream: operation failed in /var/www/shaarli/test.php on line 2

Pour réparer :

mkdir $chrootdir/dev
mknod /var/apache/chroot/dev/random c 1 8
mknod /var/apache/chroot/dev/urandom c 1 9
systemctl restart apache2

MySQL

La mise à jour et le passage à MariaDB se passe bien… sauf si l'on utilise un chroot.

En premier lieu, j'ai eu une erreur relative à /usr/share/mysql/errmsg.sys. J'y suis habitué : il faut copier ce fichier dans le chroot.

Ensuite, j'ai eu l'erreur InnoDB: ./ib_logfile0 can't be opened in read-write mode. Le web conseille de supprimer ib_logfile0 et ib_logfile1.

ENfin, j'ai eu les erreurs InnoDB: Could not find a valid tablespace file for 'mysql/gtid_slave_pos'., InnoDB: Could not find a valid tablespace file for 'mysql/innodb_index_stats'., InnoDB: Could not find a valid tablespace file for 'mysql/innodb_table_stats'..

J'ai essayé de terminer le script /usr/scripts/scripts/mysql_install_db, mais il était impossible de lancer MySQL, même avec les fichiers ib_logfile* remis à leur place et le mode safe…

Dès l'origine, j'ai configuré salement ce chroot, avec des liens symboliques (et d'autres choses qu'il ne faut pas faire avec un chroot) afin de contenter MySQL. Il m'apparaît, plus de 5 ans après, que le fonctionnement dans un chroot n'est pas vraiment bien intégré dans MySQL en comparaison d'Apache ou de Postfix (la copie du fichier errmsg.sys en est une illustration). Je pense que ce chroot m'apporte plus d'ennuis que de sécurité. Donc, j'ai décidé de le supprimer. J'ai donc déinstallé MySQL (en répondant non à la question "faut-il supprimer l'ensemble des bases de données ?"), j'ai viré tout ce qui est relatif à MySQL de mon arborescence, à l'exception de /var/lib/mysql. J'ai installé MySQL et… ça a fonctionné. \o/

Logrotate

La nuit suivant cette ré-installation de MySQL, logrotate a terminé en erreur :

/etc/cron.daily/logrotate:
mysqladmin: connect to server at 'localhost' failed
error: 'Access denied for user 'root'@'localhost' (using password: NO)'
error: error running shared postrotate script for '/var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log /var/log/mysql/mariadb-slow.log /var/log/mysql/error.log '
run-parts: /etc/cron.daily/logrotate exited with return code 1

La solution se trouve ici : il faut saisir le mot de passe de l'utilisateur de la base de données « debian-sys-maint » dans /etc/mysql/debian.cnf. Si tu ne le connais plus, connectes-toi en root à la base de données puis change-le avec SET PASSWORD FOR 'debian-sys-maint'@'localhost' = PASSWORD('<nouveau_mdp>');.

RoundCube

Durant l'installation, dbconfig produisait des erreurs du genre "je n'arrive pas à me connecter à la base de données" mais en beaucoup moins trivial (la base de données fonctionnait et le message d'erreur était plus cryptique que ce que j'en rapporte ici). J'ai décidé de quitter dbconfig sans rien configurer. Une fois la mise à jour terminée, roundcube ne savait plus pour quels domaines il devait répondre… Je l'ai reconfiguré avec dpkg-reconfigure roundcube-core et tout est devenu OK.

OpenDKIM

Dans mes logs, OpenDKIM s'écrivait milter socket must be specified tandis que systemd s'écrivait opendkim.service: PID file /var/run/opendkim/opendkim.pid not readable (yet?) after start: No such file or directory

Dans Stretch, OpenDKIM abandonne son script sysvinit et utilise une unit systemd. /etc/default/opendkim n'est donc plus lu. Il faut donc indiquer la socket directement dans la configuration d'OpenDKIM (/etc/opendkim.conf).

De même, systemd s'attend à obtenir le PID d'OpenDKIM dans le fichier /var/run/opendkim/opendkim.pid . Il faut donc ajouter PidFile /var/run/opendkim/opendkim.pid dans /etc/opendkim.conf.

Dans le modèle de configuration qui nous est proposé, remarquons la directive « UserID » qui permet de ne plus exécuter OpenDKIM en root.

OpenDNSSEC

OpenDNSSEC passe de sa version 1.4.6 à sa version 2.0.4 donc, forcément, ça implique une importante migration. Migration assez mal préparée dans le paquet Debian puisque le message nous indique « The enforcer does require a full migration, as the internal database has been completely revised. See the upstream documentation in the /usr/share/opendnssec/1.4-2.0_db_convert/README.md » alors que le dossier /usr/share/opendnssec/1.4-2.0_db_convert/ est vide et les fichiers nécessaires sont éparpillés dans /usr/share/opendnssec… … …

Bref, voici comment j'ai mis à jour :

• Vérifie qu'une clé n'est pas en train d'être changée ou d'être préparée à l'être : echo 'SELECT zones.name FROM dnsseckeys JOIN zones on zones.id = dnsseckeys.zone_id WHERE dnsseckeys.keytype = 257 AND dnsseckeys.active IS NULL AND dnsseckeys.zone_id NOT IN (SELECT dnsseckeys.zone_id FROM dnsseckeys WHERE dnsseckeys.keytype = 257 AND dnsseckeys.state = 4);' | slite3 /var/lib/opendnssec/kasp.db . Si c'est le cas, la doc' d'OpenDNSSEC conseille d'attendre que le rollover soit terminé pour mettre à jour ;
  
  
• Récupére le KeyTag de tes clés actuelles avec ods-ksmutil key list --verbose ;
  
  
• Fais une copie de /var/lib/opendnssec/kasp.db et /var/lib/softhsm/slot0.db , ça te permettra de rollback. Testé et approuvé ;) ;
  
  

• On arrête toute la machinerie et on l'empêche de démarrer durant la mise à jour :

  systemctl stop opendnssec-enforcer.service
  systemctl stop opendnssec-signer.service
  systemctl disable opendnssec-enforcer.service
  systemctl disable opendnssec-signer.service
  systemctl mask opendnssec-enforcer.service
  systemctl mask opendnssec-signer.service
  systemctl mask opendnssec-signerd.service

• Procéde à la mise à jour du système… Conserve les fichiers de conf' actuels d'OpenDNSSEC ;
  
  
• Mets à jour le schéma de la base de données d'OpenDNSSEC vers celui de la version 1.4.8 : cat /usr/share/opendnssec/migrate_1_4_8.sqlite3 | sqlite3 /var/lib/opendnssec/kasp.db ;
  
  

• Mets à jour le contenu de la base de données d'OpenDNSSEC de la version 1.X à 2.X :

  cd /usr/share/opendnssec/
  ./convert_sqlite -i /var/lib/opendnssec/kasp.db -o /var/lib/opendnssec/kasp.db.new
  mv /var/lib/opendnssec/kasp.db.new /var/lib/opendnssec/kasp.db

• Retrouve la cohérence des KeyTags suite à la migration : ods-migrate ;
  
  
• Évite l'erreur « ods-signerd[27373]: [file] unable to stat file /var/lib/opendnssec/enforcer/zones.xml: ods_fopen() failed » : cp /etc/opendnssec/zonelist.xml /var/lib/opendnssec/enforcer/zones.xml ;
  
  

• Démarre l'enforcer et vérifie que tes clés sont toujours là (à l'aide des KeyTags mis de côté au début ;) ) :

  ods-enforcer start
  ods-enforcer key list --verbose

• Si tout est OK, démarre le signer et tente de signer une modification de ta zone DNS :

  ods-signer start
  <Fais une modification de ton fichier de zone ici>
  ods-signer sign <nom_zone>
  <Vérifie que ta modification est effective>

• Si tout est OK, on re-active le lancement d'OpenDNSSEC au boot :

  ods-signer stop
  ods-enforcer stop
  systemctl unmask opendnssec-signerd.service
  systemctl unmask opendnssec-signer.service
  systemctl unmask opendnssec-enforcer.service
  systemctl enable opendnssec-enforcer.service
  systemctl enable opendnssec-signerd.service
  systemctl start opendnssec-enforcer.service
  systemctl start opendnssec-signer.service

Changement dans les conf'

• conf.xml :

  • Enforcer / « Interval » n'est plus utilisé et est déprécié dès la version 2.1 ;
    
    
  • Enforcer / ajout de « P1Y » : pré-génère les paires de clés nécessaires pour couvrir un an dès l'ajout d'une zone ;
    
    
  • Enforcer / ajout de « /var/lib/opendnssec/enforcer » ;
    
    
  • Signer / changement de la valeur de « WorkingDirectory » pour « /var/lib/opendnssec/signer » ;

• kasp.xml :

  • Les zones ont désormais un paramètre « MaxZoneTTL » avec une valeur par défaut d'un jour. Si la zone contient des enregistrements plus grands que la valeur de ce paramètre, ils seront cappés.
• zonelist.xml n'est plus vraiment utilisé et est remplacé par des commandes qui interrogent la base de données interne.

SoftHSM

SoftHSM passe lui aussi d'une version 1.X à 2.X, donc une migration nous attend. Notons que cette migration n'est pas obligatoire à mon sens, car le paquet softhsm version 1.X est toujours maintenu dans cette version de Debian.

Voici comment j'ai procédé :

• Évite l'erreur « ERROR: Could not initialize the library. » : mkdir /var/lib/softhsm/tokens ;
  
  
• Créer un nouveau coffre-fort dans la nouvelle version de SoftHSM : softhsm2-util --init-token --slot 0 --label OpenDNSSEC ;
  
  
• Copie l'ancien coffre-fort dans le nouveau : softhsm2-migrate --db /var/lib/softhsm/slot0.db --token OpenDNSSEC ;
  
  
• Fais utiliser SoftHSM2 par OpenDNSSEC en modifiant la section « Repository » de /etc/opendnssec/conf.xml : <Module>/usr/lib/softhsm/libsofthsm.so</Module> devient <Module>/usr/lib/softhsm/libsofthsm2.so</Module>. Change le PIN si t'as configuré un nouveau USER PIN sur le coffre-fort version 2 ;
  
  
• Redémarre OpenDNSSEC et vérifie que tout est OK ;
  
  
• Si tout est OK, tu peux virer la version 1.X de SoftHSM : apt-get autoremove --purge softhsm-common softhsm.

Si besoin de rollback

• Coupe tout OpenDNSSEC et empêche-le de démarrer automatiquement durant le rollback :

  systemctl stop opendnssec-enforcer.service
  systemctl stop opendnssec-signer.service
  systemctl disable opendnssec-enforcer.service
  systemctl disable opendnssec-signer.service
  systemctl mask opendnssec-enforcer.service
  systemctl mask opendnssec-signer.service
  systemctl mask opendnssec-signerd.service

• Copie tes sauvegardes des fichiers /var/lib/opendnssec/kasp.db et /var/lib/softhsm/slot0.db à leur emplacement d'origine ;
  
  
• Ajoute les dépôts Jessie dans ton sources.list et réinstalle la précédente version : apt-get install opendnssec=1:1.4.6-6 softhsm=1.3.7-2+deb8u1 opendnssec-enforcer-sqlite3=1:1.4.6-6 opendnssec-signer=1:1.4.6-6 opendnssec-common=1:1.4.6-6 libhsm-bin=1:1.4.6-6 opendnssec-enforcer=1:1.4.6-6 libsofthsm=1.3.7-2+deb8u1 softhsm-common=1.3.7-2+deb8u1 ;
  
  
• Recommence la migration à tête reposée en vérifiant que tu n'as rien oublié.

ejabberd

Le bug que je rencontrais lorsque je spécifiais des suites de chiffrement PFS à utiliser lors des connexions c2s (client to server) a disparu.

De même, cette version autorise enfin des dhparam > 1024 (directives « dhfile » et « s2s_dhfile »).

J'ai remarqué de nombreux changements entre ma config' et celle qui est proposée par le paquet. Exemples :

max_user_sessions:
all: 10

devient :

max_user_sessions: 10

max_user_offline_messages:
admin: 5000
all: 100

devient :

max_user_offline_messages:

• 5000: admin
• 100

Conclusion : j'ai décidé de ne pas avoir une conf' passoire et/ou une conf' qui peut se casser d'un rien donc j'ai accepté la conf' proposée et je l'ai adaptée à mes besoins.

icedtea-8-plugin

Les applets Java prennent enfin en charge TLS version 1.2. Utile pour les consoles à distance des BMC (même si Dell propose de l'HTML 5 depuis iDRAC 8).

OpenVPN

Il est désormais à nouveau possible de négocier la version de TLS utilisée. Cela permettra à court terme de forcer l'usage de TLS 1.2 / TLS 1.1 sans avoir à modifier la conf' des clients…

Unbound

On peut enfin activer qname minimisation, ce qui est une bonne nouvelle pour la vie privée.

Apache httpd

On peut enfin spécifier des dhparam personnalisés.

J'en ai déjà parlé, mais comme ça me semble être hyper important et méconnu, je répète.

1 % logement, action logement, loca-pass, visale, etc. Tout ça désigne des aides au logement ouvertes à un peu tout le monde. Par exemple, les principales aides à la location sont le paiement de la caution (aka dépôt de garantie) à ta place et le fait qu'Action Logement se porte garante (aka caution solidaire) pour le paiement de tes loyers. Il y a aussi des prêts pour l'accession à la propriété et pour la rénovation, notamment énergétique.

Prenons visale / loca-pass, c'est-à-dire le fait qu'Action Logement se porte garante pour le paiement des loyers :

• Cette aide est ouverte aux jeunes (< 30 ans) en étude / stage / CDD / CDI / intérim, dans le privé comme dans le public (contractuel de l'État), ainsi qu'aux moins jeunes (> 30 ans) en CDD / intérim / CDI en période d'essai dans le secteur privé non agricole ;
  
  
• Tu remplis un dossier en ligne (qui es-tu ? Quel emploi occupes-tu ? Quels sont tes revenus ?) avec des pièces justificatives, t'as une réponse sous deux jours ouvrés (pour de vrai !), tu obtiens une attestation, tu la montres à ton⋅a futur⋅e proprio, il⋅elle remplit son dossier en ligne (qui est cette personne ? Que loue-t-elle ? À quelle personne bénéficiant d'une garantie Action Logement loue-t-elle ?), il⋅elle obtient un contrat de cautionnement et vous pouvez signer un bail de manière tout à fait standard : ce n'est pas un bail tri-partie ou autre truc compliqué. Action Logement est à la fois souple et rigide. D'un côté, une promesse d'embauche suffit pour boucler le dossier. De l'autre, un document doit indiquer le temps précis de travail (exemple : 35 heures), pas juste « temps complet »… … … ;
  
  
• Action Logement se porte garante pour un montant (loyer + charges) qui n’excède pas 50 % de tes revenus si t'as moins de 30 ans, 30 à 50 % sinon. La garantie est valable durant les 3 premières années du bail ;
  
  
• En cas de défaut de paiement de ta part, Action Logement paie immédiatement ton⋅a proprio puis te réclame les sommes correspondantes par les voies amicales puis contentieuses habituelles. Certain⋅e⋅s proprios refusent d'entendre parler de ces aides car il⋅elle⋅s ont entendu dire qu'Action Logement ne réclame pas toujours (ou pas assez vite) les sommes dues à la personne locataire. Il faut répondre que ça ne les regarde pas : le⋅a proprio est payé⋅e et Action Logement est libre d'utiliser les moyens de recouvrement qu'elle veut, quand elle veut, si elle veut, ce n'est plus du ressort du proprio.

Certain⋅e⋅s proprios attendent de leur futur⋅e locataire qu'il⋅elle leur explique ce qu'est Action Logement… Allons-y :

• Chaque société commerciale qui emploie plus de 20 salarié⋅e⋅s doit payer un impôt sur sa masse salariale : la Participation des Employeurs à l'Effort de Construction (PEEC). Soit elles le font en construisant des logements en dur pour leurs salarié⋅e⋅s (comme les cités Michelin ou OVH ou…), soit en accordant à leurs salarié⋅e⋅s (et à leur famille) des prêts à taux réduit pour la construction d'une propriété, soit en versant l'impôt à un organisme collecteur agréé ;
  
  
• Action Logement est le seul organisme collecteur agréé dont j'ai entendu parler. C'est tout un groupe privé (sociétés anonymes, association) sous convention avec l'État et dirigé paritairement par les syndicats patronaux et salariés. Il collecte la PEEC et conduit différentes actions, comme les aides présentées ci-dessus.

Tiens, revoilà la farce du comité d’éthique de Canal Plus ! La semaine dernière, la chaîne cryptée a publié la liste des quatre membres composant ce machin « chargé de garantir l’indépendance éditoriale et celle de l’information », comme ne craint pas de le clamer Vincent Bolloré.

Le moment est bien choisi : Canal est en train de virer une salariée qui, par erreur, a diffusé sur Canal Afrique un reportage critiquant Faure Gnassingbé, le monarque du Togo — un grand ami de Bolloré. Les ténors de son vertueux comité vont sûrement mettre un terme à ces aimables pratiques.

Le premier n’est autre que Laurent Le Mesle. Ex-conseiller de Chirac à l’Elysée, ex-procureur général de Paris, Le Mesle officie comme premier avocat général a la Cour de cassation. il va bientôt se retrouver dans une position très éthique. Ladite Cour statuant, à l’occasion, sur les procès que Bolloré intente aux journalistes qui n’ont pas… la même approche de l’éthique que lui.

Mitraillage judicialre

Depuis 2013, le milliardaire a attaqué 19 médias en diffamation, pour dénigrement ou pour préjudice commercial. Radios (France Inter, France Culture, France Info), télévisions (France 2), journaux (« L’Obs »), sites internet (Bastamag, Mediapart, Rue89)… Le groupe Bolloré fait feu de tout bois, réclamant parfois des millions d’euros (il en demande 50 à France 2 !) pour des reportages sur ses affaires africaines, les plus juteuses et les plus secrètes.

Onze procédures en cours ont des chances d’arriver un jour devant la Cour de cass, et la première dès 2918 : un pourvoi introduit par Bolloré dans son procès contre Bastamag — pour un papier sur l’accaparement des terres en Afrique —, que le malheureux industriel a perdu, le 12 février dernier…

Les experts à Saint-Trop'

Par pudeur, sans doute, le communiqué annonçant la nommination de Le Mesle au sein du comité de Canal (une maison où son épouse a officié jusqu’en 2014) le présente comme « un ancien premier avocat général à la Cour de cassation », alors qu’il ne prendra sa retraite qu’en février 2019. Précision du magistrat au « Canard » : « Je suis arrivé par Vincent Bolloré (…) C'est gratuit, je ne suis pas remunéré. Si un dossier le concernant vient devant la chambre commerciale de la Cour où je suis, je me déporterai. » impressionnant.

Quant aux autres membres du comité, le deuxième s’appelle Brice Charles, rapporteur au tribunal administratif de Paris — ça ne peut pas nuire. il y a aussi Sabine Bourgey, spécialiste en numismatique, ex-antiquaire, qui fait ainsi étalage de ses qualités d’experte : « J’aime la télé et beaucoup les séries américaines. » La dernière est Jacqueline Franjou. Jadis conseillère de DSK à l’industrie, elle dirige le Women's Forum de Publicis et préside le Festival de Ramatuelle, à deux pas de ia villa tropézienne de Bolloré.

Chez Canal, l’éthique sera chic !

Roh, mais non, c'est juste un comité éthique qui a le bras long afin de servir aux mieux les intérêts industriels du patron, rien de plus.

Dans le Canard enchaîné du 13 décembre 2017.

Alors que la plupart des ministères sont à la diète, le budget des espions de la Direction générale de la sécurité extérieure ne cesse d’enfler. Selon le projet de loi de finances 2018, ses crédits de paiement devraient passer, révèle « La Lettre de L’Expansion » (20/11), à 295,6 millions d’euros, soit un bonus de 20,3 % par rapport à 2017. C’est Noël, chez les barbouzes !

Près de 70 % de cette manne tombe dans l’escarcelle de la Direction technique, les « grandes oreilles » de la maison. Il y a quelque temps, la France s’est mis en tête de jouer dans la cour des grands. Avec Frenchelon, d’abord, la version coq sportif du système Echelon des Anglo-Saxons, destinée à écouter la planète, lancée dans les années 90. il y a dix ans, ensuite, avec un projet de siphonnage du Web mondial. D’où sa course aux crédits : le trafic mondial ne cesse de croître, le pays a besoin de serveurs puissants pour stocker et mouliner les données piquées dans les câbles sous-marins. Pour faire tourner ce superbouzin informatique, la DGSE, qui aligne 5 430 fausses barbes, a encore embauché 123 agents.

Sans décoder...

Des analystes et des linguistes, mais aussi des matheux, as du cryptage, des « techniciens du signal » ou des experts en bases de données, qu’il a fallu séduire avec de gros chèques. Attirer tous ces civils dans une maison qui n’aligne plus que 25 % de militaires revient donc cher. L’an prochain, la masse salariale va s’alourdir de 20 millions d’euros, pour atteindre 445,5 millions. Et la loi de programmation militaire 2019—2025 prévoit encore un bond des effectifs de 25 % !

D’autant que la lutte contre le terrorisme a fait exploser le nombre de missions à l’étranger. Les frais de déplacement (11,5 millions en 2018) flambent de plus de 17 %. « Dans un monde où tout est surveillé, des mouvements des personnes aux flux financiers, garantir la discrétion est de plus en plus onéreux », regrette un militaire au parfum. D’où la gourmandise grandissante de la DGSE, qui accapare chaque année plus de 50 millions d’euros de « fonds spéciaux ».

Le contribuable n’a pas fini de contribuer. Afin de lutter contre le cryptage auquel les internautes recourent de plus en plus souvent, les barbouzes réclament de nouveaux joujoux techniques, susceptibles de tripler leur budget ! La DGSE devrait recruter le Père Noël…

Toujours plus de flicage, toujours moins de vie privée pour le⋅a citoyen⋅ne lambda. Toujours plus de fric gaspillé pour une efficacité identique face aux grandes menaces qui sont vendues aux citoyen⋅ne⋅s… Moins de liberté, moins de sécurité. Perdant-perdant. :'(

Dans le Canard enchaîné du 13 décembre 2017.

Les députés viennent de se voir accorder quelques petites rallonges. Elles s’ajoutent aux 5 373 euros mensuels d’indemnité représentative de frais de mandat (IRFM).

Indemnnité utilisable comme bon leur semble, sans trop de contrôles.

Comme l’atteste un compte rendu que s’est procuré « Le Canard », les trois questeurs réunis le 1er décembre ont ainsi décidé que l’Assemblée prendrait en charge, à partir du 1er janvier, 30 euros sur 80 par nuitée passée par les députés à Paris dans les hôtels détenus par l’Assemblée. Soit 400 euros par mois, puisqu’un député dort, en moyenne, trois nuits par semaine dans la capitale.

L'IRFM n'était pas justement censée servir, entre autres, au logement ?!

Généreux avec leurs pairs, et donc, au passage, avec eux-mêmes, les grands argentiers de l’Assemblée ont également décidé de réunir en une seule dotation annuelle les frais de courrier (12 000 euros), de taxi (2 750 euros) et de téléphone (4 200 euros) par député. Soit 18 950 euros par an pour chacun des 577 membres de l’Assemblée.

L'IRFM n'était pas censée servir pour payer les déplacements ?! 1000 €/mois de courrier… ça fait plus de 1100 lettres prioritaires… Ce n'est pas un peu trop, sérieux ? :/ Je ne critique pas le téléphone car la majorité des assistant⋅e⋅s parlementaires de l'ancienne législature prenaient la peine de rapeller le⋅a citoyen⋅ne lambda qui téléphonait, de vécu.

Jusqu’à présent, d’année en année, l’argent non dépensé était remis dans le pot commun. A compter du 1er janvier, les députés pourront conserver les reliquats d’une année à l’autre. Enfin, ils seront autorisés à utiliser cet argent pour améliorer leur enveloppe informatique : 15 000 euros par député pour la durée de son mandat. Jusqu’alors, ce forfait ne pouvait être dépassé qu’exceptionnellement.

Sans doute un bug !

Dans le Canard enchaîné du 13 décembrre 2017.

Voila une cochenille asiatique qui passe sa vie à baver sur les arbres. Si la femelle du Kerria lacca, qui s’épanouit dans les forêts tropicales, recouvre de ses sécrétions tout ce qu'elle touche, c’est d'abord pour protéger son nid. En séchant, la salive de cette fausse chenille donne une croûte visqueuse qui fait le bonheur de l'industrie agroalimentaire.

Récoltée sur le tronc des arbres, la précieuse bave est concassée puis purifiée par extraction à chaud à l’aide d'un solvant. La masse pâteuse ainsi obtenue est ensuite mélangée avec de l'alcool éthylique, métylique, butylique, amylique, de l'ammoniaque, de la soude caustique, de la potasse, du borax, des carbonates alcalins… — n’en ietez plus ! —, pour en faire une chouette gomme d'enrobage, de couleur orangée ou blond doré. On en retrouve un peu partout, jusque sur les bûches de Noël ! Une ]oyeuseté qui, sur les étiquettes, est pudiquement signalée « shellac » ou « E904 ».

C'est l'une des cachotteries pointées par Foodwatch. L'ONG, poil à gratter de l'agroalimentaire, a eu la bonne idée de sortir un catalogue « spécial arnaques de fêtes », où elle décortique 20 produits qui, du foie gras au saumon en passant par la bisque de homard, composent habituellement le menu des deux réveillons. Une hotte dans laquelle figure donc une bûche de chez Picard café-noisette… enrobée de shellac. La pâtisserie industrielle raffole de la salive de Kerria lacca, tout comme les confiseurs pour le glaçage des macarons, des chocolats et d'une kyrielle de bonbons chocolatés comme les célèbres Smarties.

Grâce à la bave de cochenille, les fruits et les légumes exotiques brillent comme es sous neufs sur les étals de nos supermarchés. Avant d'embarquer sur les porte-conteneurs, avocats, ananas, papayes ou mangues sont souvent enduits de shellac. Un film protecteur moins cher que la cire d’abeille. En dehors de notre assiette, le E9O4 sert, pêle-mêle, à enrober les médicaments, à traiter le bois, à fabriquer les vernis à ongles et les laques à cheveux.

On comprend maintenant pourquoi, les soirs de réveillon, après avoir englouti la bûche ou pioché dans les boîtes de chocolats, l’envie nous prend parfois de faire la danse de la (co)chenille…

Dans le Canard enchaîné du 6 décembre 2017.

Il ne manquait que le froid glacial au pauvre, au malheureux, au miséreux tribunal de Bobigny, qui aura décidément tout connu : pannes de lumière, fuites d’eau, WC hors d’usage… Et maintenant le chauffage, qui a rendu l’âme il y a dix jours, a obligé le président à annuler des audiences, le 4 décembre. La faute aux canalisations qui fuient mais qui, prises dans le béton et recouvertes d’amiante, ne sont pas faciles à réparer… Ô merveille de l’architecture !

« On va nous installer des souffleries à chaleur, raconte Cyril Papon, greffier et délégué CGT, mais, pas de bol, au tribunal pour enfants, l’armoire électrique ne le permet pas, ils vont continuer de se les geler… ».

Le deuxième tribunal de France peut aussi s’enorgueillir d’un système d’archivage sans pareil, à voir les milliers de cartons empilés qui ornent les murs, menacent de dégringoler ou s’affaissent carrément (voir la photo). Dans la salle d’attente des juges pour enfants, il arrive souvent que les gens qui s’ennuient fouillent dedans et lisent les dossiers, dans le respect de la sacro-sainte confidentialité !

Tant qu’ils ne s’en servent pas pour faire un petit feu et s’y réchauffer…

Wooh, quand même… Quand on te dit que la Justice n'a pas de moyens, ce n'est pas forcément de l'éxagération…

Dans le Canard enchaîné du 6 décembre 2017.

Toujours plus haut, toujours plus fort ! Mercredi 29 novembre, le tyran nord-coréen a fait tirer un missile balistique intercontinental qui a volé 53 minutes et atteint une altitude de 4 475 kilomètres.

Jusqu’ici, Kim Jong-un avait montré qu’il pouvait frapper jusqu’en Alaska. Avec ce tir-là, il prouve que New York ou Washington sont à sa portée. Estomaqué, Trump, qui affirmait, lors de sa récente tournée en Asie, que jamais Pyongyang n’aurait une technologie à la hauteur, n’a lâché qu’un faiblard : « On va s’en occuper ». De son côté, Macron a dénoncé ce tir « irresponsable ». Et l’ONU a annoncé de nouvelles sanctions — ce ne sera guère que la 9e fois. Tandis que le président sud-coréen montrait des signes de panique en priant les Etats-Unis de ne pas envisager de frappe préventive. Jamais, depuis la fin de la guerre froide, le monde n’a été si près d’un conflit nucléaire… Mais, bon, puisqu’on y a échappé jusqu’ici, pas de raison de s’inquiéter ?

Le 10 décembre à Oslo, l’association Ican va recevoir le prix Nobel, qui lui a été décerné pour l’abolition des armes nucléaires. Elle a réussi à faire en sorte qu’en juillet pas moins de 122 pays fassent adopter par l’ONU un traité par lequel ils s’engagent ‘a ne jamais fabriquer, ni détenir, ni utiliser la Bombe. Ils ont, en prime, demandé aux neuf pays « nucléaires » de désarmer. Et n’ont reçu que ricanements en retour.

La France a voté contre ce traité, évidemment, comme l’avait fait Hollande. Pour la cérémonie de remise du Nobel, la France, le Royaume—Uni et les Etats-Unis n’enverront pas leurs ambassadeurs, comme il est de coutume. Mais des diplomates de second rang. « Ils aiment tellement leurs armes nucléaires, et n’aiment pas ceux qui essaient de les interdire », a commenté Béatrice Fihn, la directrice d’Ican.

Mais si, voyons, puisqu’ils veulent l’interdire à la Corée du Nord !

Dans le Canard enchaîné du 6 décembre 2017.

Un vrai Robespierre de la fiscalité, ce Xavier Niel ! Interrogé par « Vanity Fair » (décembre 2017), le patron de Free et coproprio du « Monde » et de « L’Obs » assène : « Je pense qu’il faut surtaxer les yachts et les voitures de luxe. Ce serait sain. » Pas de chance, l’entretien a été réalisé avant la sortie des « Paradise Papers ». Dans lesquels figuraient les documents de bord du « Phocéa ». Naguère propriété de Tapie, ce voilier géant appartient désormais à Niel, qui l’a fait immatriculer… à Malte,

Une île où l’on « surtaxe » avec beaucoup de modération. Car on y aime vraiment les bas taux.

Niel, comme Tapie avant lui, se défendra qu'il loue le bateau à une société croisiériste, donc que ce bateau n'est pas à usage personnel, donc que ça ne compte pas vraiment, circulez, y'a rien à voir. Faites ce que je dis, pas ce que je fais, énième épisode.

Dans le Canard enchaîné du 6 décembre 2017.

De graves lacunes dans la sécurité d’un aéroport. Les fragilités d’un port de plaisance. La consultation de sites djihadistes… Ces alertes, actionnées — en pure perte — par les flics de Marseille, ont conduit, le 20 novembre, à la descente de deux commissaires venus de Paris pour auditer le renseignement territorial des Bouches-du-Rhône. Le patron de la sécurité publique s’étonnait de la maigreur (et de l’indigence) des notes produites par le plus gros service de renseignement départemental de France (111 poulets)…

Une semaine durant, les deux émissaires, épaulés par un collègue local, ont épluché les archives du service. Ils n’ont pas été déçus… Le chef du rens’ marseillais gardait dans ses tiroirs un tas de notes sensibles, sur l’islam radical, notamment, et sur le risque terroriste. Autant de soucis en moins pour le responsable de la sécurité publique du département, le préfet de police de Marseille et, bien sûr, la Place Beauvau. Autant de paperasse épargnée à la base de données Agec, utilisée par tous les agents du renseignement territorial…

Ben, il fallait faire diminuer les chiffres de la criminalité, non ?

Balance ton port ?

Ainsi cette note de cinq pages (16 novembre 2015) rédigée par le « groupe islam » sur les failles de sécurité de l’aéroport Marseille-Provence, où œuvrent 150 entreprises sous-traitantes. Les badges donnant accès aux pistes ou aux coulisses de l’aéroport y sont accordés, explique le document, avant même la fin de l’enquête de police et ne sont pas retirés immédiatement en cas de veto. Mieux : certains employés se feraient remplacer par un ami, un frère ou un cousin. Résultat ? Le badge se retrouve « en possession d’inconnus à la dangerosité de facto non évaluée », précisent les flics du renseignement.

Le doc pointe également une zone aéroportuaire mitoyenne des pistes d’envol où « il semble relativement facile » d’introduire « un engin explosif à l’intérieur d’un carton reconditionné, lequel franchirait le grillage pour être ensuite embarqué ». Et que dire de cette note passée à la trappe qui, en juillet, révélait deux points de vulnérabilité en cas d’attaque terroriste sur le terminal du port de Marseille accueillant les bateaux de croisière ? Une vraie galère.

Salade niçoise

Les flics, qui en avaient ras les plumes de pondre des rapports pour rien. ont tout raconté aux commissaires chargés de l’audit. Ce qui a mis le feu au poulailler, c’est une enquête, menée en octobre 2016 par le groupe islam, sur la consultation de sites salafistes au sein d’une bibliothèqne municipale. Deux suspects ont été identifiés. Huit mois plus tard, on a appris que l’un des deux avait abreuvé le président d’une association catho niçoise d’insultes et de slogans djihadistes du genre « La France, on la mettra à genoux, inch’Allah ».

Alertés, les flics marseillais se sont révélés incapables de ressortir la fiche. Normal elle n’avait jamais été enregistrée par leur taulier ! En déclenchant une enquête interne au lieu de saisir la police des polices, le boss de la sécurité publique espérait ne pas ébruiter l’affaire.

C’est gagné.

C'est le côté positif (et négatif) des lois sécuritaires : grâce à l'éternelle faillibilité humaine, on a une probabilité non nulle de passer à travers leurs mailles liberticides, même si elles sont renforcées année après année.

Dans le Canard enchaîné du 29 novembre 2017.